Informe de progreso de la adecuación al ENS

SEGUIMIENTO DEL PROGRESO DE LA
ADECUACIÓN AL ESQUEMA NACIONAL DE
SEGURIDAD
Situación a final de 2013
SEGUIMIENTO DEL PROGRESO DE LA ADECUACIÓN AL
ESQUEMA NACIONAL DE SEGURIDAD. SITUACIÓN A
FINAL DE 2013
Se ha realizado en 2013 un seguimiento estrecho del progreso de la adecuación al
Esquema Nacional de Seguridad (ENS), por parte del MINHAP conjuntamente con el CCN,
en la Administración General del Estado, según lo acordado por la Comisión Permanente del
Consejo Superior de Administración Electrónica en octubre de 2012, y extendido a las
demás AA.PP., a partir del acuerdo del Comité de Seguridad de la Información de las
Administraciones Públicas de abril de 2013, con participación de carácter voluntario,
mediante sucesivas oleadas de cuestionarios en febrero, mayo, septiembre y diciembre,
para conocer el estado de situación de dicho progreso e identificar los aspectos de mayor
dificultad.
En cualquier caso ha de tenerse en cuenta que el esfuerzo de adecuación al ENS se ha
venido realizando en condiciones que suponen un esfuerzo notable por la limitación de
recursos económicos y humanos en las que se desenvuelve la actividad de las entidades de
la Administración.
En particular, los Departamentos ministeriales de la Administración General del Estado, sus
centros directivos y entidades vinculadas o dependientes han participado muy activamente
facilitando un conocimiento exhaustivo de la situación en materia de de adecuación al ENS
en la Administración General del Estado (AGE). También las Comunidades Autónomas se
han ido incorporando de forma creciente al seguimiento del progreso a lo largo de las
sucesivas oleadas.
Administración General del Estado
Comunidades Autónomas
Ayuntamientos
Diputaciones
Total
febrero
64
5
2
71
mayo
69
26
12
5
112
septiembre
77
28
13
6
124
diciembre
78
30
14
6
128
Tabla. Cuestionarios recibidos del ENS en las 4 oleadas de 2013
Esquema Nacional de Seguridad
2
Figura. Situación comparativa para una muestra de medidas de seguridad consideradas
particularmente significativas.
Como conclusión general, cabría esperar un mayor grado de avance, si bien se dan
situaciones entre los niveles 3 y 5 de la escala establecida.
Para avanzar es importante impulsar las medidas relativas a la Configuración de seguridad,
la Gestión de la configuración, la Gestión de cambios, los Registros de uso del sistema, el
Registro de la actividad de los usuarios, las medidas de monitorización del sistema, a saber,
Detección de intrusión y Sistema de métricas, junto con las actividades de Concienciación y
Formación. Las guías de seguridad CCN-STIC aportan orientación para diversos aspectos
del Esquema Nacional de Seguridad en general, para cuestiones técnicas de seguridad más
concretas como, por ejemplo, para Configuración de seguridad y Protección de aplicaciones
web.
Se ha previsto lanzar una nueva oleada de cuestionarios en marzo de 2014 que permita
conocer el estado de situación una vez vencido el plazo de 48 meses de adecuación al ENS.
Esquema Nacional de Seguridad
3